Guia de Segurança para Transações na Cadeia: Proteja os Seus Ativos Web3

Com o contínuo desenvolvimento do ecossistema blockchain, as transações na cadeia tornaram-se uma parte importante das operações diárias dos usuários de Web3. Cada vez mais usuários estão optando por transferir ativos de plataformas centralizadas para redes descentralizadas, o que significa que a responsabilidade pela segurança dos ativos está gradualmente passando das plataformas para os próprios usuários. Em um ambiente na cadeia, os usuários precisam ser responsáveis por cada passo da operação, seja importando carteiras, usando DApps, ou realizando autorizações de assinatura e iniciando transações; qualquer operação imprudente pode acarretar riscos de segurança, levando a sérias consequências como vazamento de chaves privadas, abuso de autorizações ou ataques de phishing.

Embora atualmente as principais extensões de carteira e navegadores tenham integrado gradualmente funcionalidades como identificação de phishing e alertas de risco, face às técnicas de ataque cada vez mais complexas, depender apenas da defesa passiva das ferramentas ainda é difícil para evitar completamente os riscos. Para ajudar os usuários a identificarem melhor os riscos potenciais nas transações na cadeia, este artigo, com base na experiência prática, revisa os cenários de alto risco ao longo de todo o processo e, combinando sugestões de proteção e dicas de uso de ferramentas, estabelece um guia sistemático de segurança para transações na cadeia, com o objetivo de auxiliar cada usuário do Web3 a construir uma linha de defesa “autônoma e controlável”.

Princípios fundamentais para transações seguras:

• Recusar a assinatura cega: não assine transações ou mensagens que não compreenda.
• Verificação repetida: Antes de realizar qualquer transação, é imprescindível verificar várias vezes a precisão das informações relacionadas.

1. Sugestões para uma negociação segura

A chave para proteger ativos digitais está em transações seguras. Estudos mostram que o uso de carteiras seguras e autenticação de dois fatores (2FA) pode reduzir significativamente os riscos. As recomendações específicas são as seguintes:

• Escolha uma carteira segura e confiável:

Dê prioridade a fornecedores de carteiras com boa reputação, como carteiras de hardware ou carteiras de software conhecidas. As carteiras de hardware oferecem funcionalidade de armazenamento offline, ajudando a reduzir eficazmente o risco de ataques online, sendo especialmente adequadas para armazenar grandes ativos.

• Verifique atentamente os detalhes da transação:

Antes de confirmar a transação, é imprescindível verificar o endereço de recebimento, o montante e a rede (como garantir que está a utilizar a rede de blockchain correta) para evitar perdas devido a erros de inserção.

• Ativar a autenticação de dois fatores (2FA):

Se a plataforma de negociação ou carteira suportar 2FA, é altamente recomendável ativar esta funcionalidade para aumentar a segurança da conta, especialmente ao usar carteiras quentes.

• Evite usar Wi-Fi público:

Não faça transações em redes Wi-Fi públicas para evitar ataques de phishing e ataques de intermediários.

Dois, como realizar transações seguras

Um processo completo de transação de DApp inclui várias etapas: instalação da carteira, acesso ao DApp, conexão da carteira, assinatura de mensagem, assinatura de transação, processamento pós-transação. Cada etapa apresenta certos riscos de segurança, a seguir serão apresentadas as precauções a serem tomadas durante a operação.

1. Instalação da carteira:

Atualmente, as DApps interagem principalmente através de carteiras de plugins de navegador. Ao instalar a carteira de plugin do Chrome, deve-se garantir que o download seja feito a partir da loja oficial de aplicativos, evitando a instalação a partir de sites de terceiros, para prevenir a instalação de software de carteira com backdoors. Usuários que tiverem condições são aconselhados a usar carteiras de hardware em conjunto, para aumentar ainda mais a segurança na gestão das chaves privadas.

Ao fazer backup da frase-semente (geralmente uma frase de recuperação de 12 a 24 palavras), é aconselhável armazená-la em um local seguro offline, como escrevê-la em papel e guardá-la em um cofre.

2. Aceder ao DApp

A pesca na web é uma técnica comum de ataque no Web3. Um caso típico é induzir os usuários a visitar DApps de phishing sob o pretexto de airdrops, levando-os a assinar autorizações de tokens, transações de transferência ou assinaturas de autorização de tokens após conectarem suas carteiras, resultando em perdas de ativos.

Assim, ao acessar o DApp, os usuários devem manter uma elevada vigilância para evitar cair em armadilhas de phishing na web.

Antes de acessar o DApp, deve-se confirmar a correção do URL. Sugestão:

• Evite acessar diretamente através de motores de busca: sites de phishing podem aumentar sua classificação comprando espaço publicitário.
• Tenha cuidado ao clicar em links nas redes sociais: os URLs em comentários ou mensagens podem ser links de phishing.
• Confirmação múltipla da precisão do endereço do DApp: pode ser verificado através de vários canais, como o mercado de DApp e as contas oficiais de redes sociais do projeto.
• Adicione o site seguro aos favoritos do navegador: acesse diretamente a partir dos favoritos posteriormente.

Após abrir a página do DApp, é necessário realizar uma verificação de segurança na barra de endereços:

• Verifique se o domínio e o URL apresentam imitações ou falsificações.
• Confirme se é um link HTTPS, o navegador deve mostrar o ícone de cadeado 🔒.

Atualmente, as principais carteiras de plugin já integraram certas funcionalidades de aviso de risco, que conseguem exibir um alerta forte ao acessar websites de risco.

3. Conectar carteira

Após entrar no DApp, pode ser que a operação de conectar a carteira seja iniciada automaticamente ou após clicar ativamente em Conectar. A carteira de plugin realizará algumas verificações e exibirá informações sobre o DApp atual.

Após conectar a carteira, geralmente, quando o usuário não realiza outras ações, o DApp não solicitará ativamente a carteira de plug-in. Se o site frequentemente solicitar a assinatura de mensagens ou a assinatura de transações após o login, mesmo após a recusa da assinatura, isso pode ser uma característica de um site de phishing, e deve ser tratado com cautela.

4. Assinatura de Mensagem

Em situações extremas, como quando um atacante invade o site oficial do protocolo ou substitui o conteúdo da página por meio de ataques como o sequestro do front-end, é difícil para os usuários comuns identificar a segurança do site.

Neste momento, a assinatura da carteira de plugin torna-se a última linha de defesa para proteger os ativos dos usuários. Desde que recusem assinaturas maliciosas, podem evitar perdas de ativos. Os usuários devem examinar cuidadosamente o conteúdo da assinatura ao assinar qualquer mensagem e transação, recusando assinaturas cegas, para garantir a segurança dos ativos.

Os tipos de assinatura comuns incluem:

• eth_sign: assinar dados de hash.
• personal_sign: Assina informações em texto claro, geralmente utilizado para verificação de login de usuário ou confirmação de acordos de licença.
• eth_signTypedData (EIP-712): assinatura de dados estruturados, comumente utilizada para Permissão ERC20, listagens de NFT, etc.

5. Assinatura de transação

A assinatura da transação é usada para autorizar transações na cadeia, como transferências ou chamadas de contratos inteligentes. Os usuários assinam com a chave privada, e a rede valida a eficácia da transação. Atualmente, muitas carteiras de plugin decodificam mensagens a serem assinadas e mostram o conteúdo relevante, os usuários devem seguir o princípio de não assinar de forma cega, recomendações de segurança:

• Verifique cuidadosamente o endereço do destinatário, o montante e a rede, para evitar erros.
• Recomenda-se o uso de assinatura offline para grandes transações, reduzindo o risco de ataques online.
• Atenção às taxas de gas, certifique-se de que são razoáveis e esteja atento a potenciais fraudes.

Para utilizadores com alguma base técnica, podem ser adotados alguns métodos de verificação manual: copiar o endereço do contrato alvo para o explorador da cadeia e rever, verificando principalmente se o contrato é de código aberto, se houve um grande número de transações recentemente e se o explorador marcou o endereço como oficial ou malicioso, entre outros.

6. Processamento pós-negociação

Mesmo que consiga evitar páginas de phishing e assinaturas maliciosas, ainda é necessário realizar a gestão de riscos após a transação.

Após a transação, deve-se verificar rapidamente a situação na cadeia da transação, confirmando se está de acordo com o estado esperado no momento da assinatura. Se forem encontradas anomalias, devem ser tomadas rapidamente medidas de mitigação de perdas, como a transferência de ativos e a revogação de autorizações.

A gestão de aprovação ERC20 é igualmente importante. Houve casos em que, após os usuários autorizarem tokens em certos contratos, esses contratos foram atacados anos depois, e os atacantes aproveitaram os limites de autorização dos tokens do contrato atacado para roubar os fundos dos usuários. Para evitar tais situações, recomenda-se que os usuários sigam os seguintes padrões para a prevenção de riscos:

• Minimizar a autorização. Ao autorizar tokens, a quantidade de tokens correspondente deve ser autorizada de forma limitada de acordo com as necessidades da transação. Por exemplo, se uma transação requer a autorização de 100 USDT, então a quantidade autorizada deve ser limitada a 100 USDT, em vez de usar a autorização padrão ilimitada.
• Revogar atempadamente autorizações de tokens desnecessárias. Os utilizadores podem aceder a ferramentas relacionadas para consultar a situação de autorização do endereço correspondente, revogar autorizações de protocolos que não foram interagidos durante muito tempo, prevenindo que vulnerabilidades subsequentes no protocolo levem à utilização do limite de autorização do utilizador, resultando em perdas de ativos.

Três, Estratégia de Isolamento de Fundos

Mesmo com a consciência dos riscos e a implementação de medidas adequadas de prevenção, é aconselhável realizar uma eficaz segregação de fundos, a fim de reduzir o impacto financeiro em situações extremas. As estratégias recomendadas são as seguintes:

• Use carteiras multisig ou carteiras frias para armazenar grandes ativos;
• Use uma carteira de plugin ou uma carteira EOA como carteira quente para interações diárias;
• Troque regularmente o endereço da carteira quente para evitar que o endereço fique exposto a ambientes de risco por longos períodos.

Se por acaso você encontrar um ataque de phishing, recomenda-se executar imediatamente as seguintes medidas para reduzir as perdas:

• Use ferramentas relacionadas para cancelar autorizações de alto risco;
• Se a assinatura do permit foi realizada, mas o ativo ainda não foi transferido, pode iniciar imediatamente uma nova assinatura para tornar o nonce da assinatura antiga inválido;
• Se necessário, transfira rapidamente os ativos restantes para um novo endereço ou carteira fria.

Quatro, como participar de forma segura em atividades de airdrop

Airdrops são uma forma comum de promoção de projetos de blockchain, mas também apresentam riscos. Aqui estão algumas sugestões:

• Pesquisa de fundo do projeto: garantir que o projeto tenha um white paper claro, informações da equipe públicas e uma boa reputação na comunidade;
• Usar endereços dedicados: registar uma carteira e um e-mail dedicados, isolando o risco da conta principal;
• Clique com cautela nos links: obtenha informações sobre airdrops apenas através de canais oficiais, evite clicar em links suspeitos nas plataformas sociais;

Cinco, seleção e recomendações para o uso de ferramentas de plug-in

O conteúdo das diretrizes de segurança da blockchain é extenso, e pode não ser possível realizar uma verificação detalhada a cada interação. A escolha de plugins seguros é crucial, pois pode nos ajudar a fazer avaliações de risco. Aqui estão algumas sugestões específicas:

• Selecione extensões confiáveis: Use extensões de navegador amplamente utilizadas, como o Metamask (para o ecossistema Ethereum). Esses plugins oferecem funcionalidades de carteira e suportam a interação com DApps.
• Verifique a classificação: antes de instalar um novo plugin, verifique a classificação do usuário e o número de instalações. Uma alta classificação e um grande número de instalações geralmente indicam que o plugin é mais confiável, reduzindo o risco de código malicioso.
• Mantenha-se atualizado: atualize regularmente os plugins para obter as últimas funcionalidades de segurança e correções. Plugins desatualizados podem ter vulnerabilidades conhecidas, tornando-os suscetíveis a ataques.

Seis, Conclusão

Seguindo as diretrizes de segurança de transações acima, os usuários podem interagir de forma mais tranquila em um ecossistema de blockchain cada vez mais complexo, melhorando efetivamente a capacidade de proteção de ativos. Embora a tecnologia blockchain tenha a descentralização e a transparência como suas principais vantagens, isso também significa que os usuários devem lidar de forma independente com múltiplos riscos, incluindo phishing de assinatura, vazamento de chaves privadas e DApps maliciosos.

Para alcançar uma verdadeira segurança na cadeia, depender apenas de ferramentas de aviso é insuficiente; é fundamental estabelecer uma consciência de segurança e hábitos operacionais sistemáticos. Ao utilizar carteiras de hardware, implementar estratégias de isolamento de fundos, verificar regularmente autorizações e atualizar plugins, entre outras medidas de proteção, e ao aplicar na operação de transações os princípios de “verificação múltipla, recusa de assinaturas cegas e isolamento de fundos”, é possível realmente alcançar “subir na cadeia de forma livre e segura”.